Ressources

Un guide bricolage de la sécurité WordPress – Sécurisez votre site Web en 9 étapes


Une cyberattaque sur votre site Web WordPress peut être lancée avec pas plus de 10 lignes de code. Et en cas de succès, on ne sait pas ce que le pirate va faire. Ils peuvent utiliser leur contrôle administratif pour voler les données de vos visiteurs ou lancer une attaque contre tous ceux qui partagent votre serveur.

Et l’amère vérité est que votre site Web peut succomber à une cyberattaque quelles que soient vos mesures de sécurité. En fait, plus de 30 000 sites Web sont identifiés comme ayant été compromis chaque jour.

Ces compromis sont rendus possibles par un certain nombre de vulnérabilités dans l’ensemble du système – sur votre ordinateur, dans WordPress, sur votre serveur Web et dans votre réseau. Et tandis que de nombreuses vulnérabilités sont éliminées chaque jour, de plus en plus régulièrement.

Alors, que pouvez-vous faire en tant que propriétaire d’un site Web WordPress? Voici 9 conseils pour renforcer votre sécurité WordPress.

Sommaire afficher

1. Gardez WordPress, les plugins et les thèmes à jour

Chaque nouvelle mise à jour de WordPress est livrée avec un journal des modifications informant les utilisateurs des modifications, améliorations et corrections de bogues apportées à la version précédente. Mais ces journaux des modifications peuvent également être utilisés comme référence pour tous les bogues dont on peut tirer parti sur les sites Web exécutant des versions antérieures de WordPress.

Il en va de même pour les plugins et les thèmes sur WordPress. Chaque mise à jour est accompagnée d’un journal des modifications publié sur la page du plugin ou du thème lui-même. Malgré les notifications, peu d’administrateurs WordPress mettent à jour leur noyau, plug-ins ou thèmes WordPress. Et les pirates n’hésitent pas à saisir toutes les opportunités.

cercle coloré
En juin 2020, seulement 38% des utilisateurs de WordPress avaient mis à jour vers la dernière version.

C’est pourquoi vous devez maintenir votre site Web à jour. Accédez simplement à l’onglet « Mises à jour » dédié dans votre tableau de bord et mettez tout à jour sur une seule page. Les badges de notification sur l’onglet « Mises à jour » devraient être suffisants pour attirer votre attention chaque fois qu’il y a une mise à jour.

2. Masquer la version WordPress

Pour quelqu’un qui cherche à cibler votre site Web, trouver votre version WordPress peut être aussi simple que de cliquer avec le bouton droit pour afficher la source de votre page et de rechercher «générateur». L’attaquant peut alors utiliser les vulnérabilités répertoriées de cette version pour fabriquer l’approche la plus efficace.

C’est pourquoi il est nécessaire que dans la fenêtre de temps qu’il vous faut pour mettre à jour votre cœur WordPress, votre version soit cachée à tout le monde. Vous pouvez masquer les informations de version de WordPress en ajoutant le code suivant au fichier function.php de votre thème WordPress:

texte noir sur écran blanc
Ajoutez cet extrait de code à votre fichier function.php pour masquer votre version WordPress.

Si vous n’êtes pas à l’aise de modifier le code vous-même, vous pouvez installer un plugin comme Meta Generator et Version Info Remover. Le plugin vous donne un contrôle complet sur l’endroit où votre numéro de version WordPress est visible.

3. Obtenez un hôte Web sécurisé

Une façon sournoise pour les attaquants de planter une porte dérobée à l’intérieur de votre site Web consiste d’abord à accéder au serveur. Bien que les fournisseurs d’hébergement Web aient leurs propres systèmes de sécurité en place, tous ne sont pas créés égaux. Il est donc essentiel que vous choisissez votre hébergeur soigneusement.

Tout en en choisissant un, assurez-vous de rechercher des fonctionnalités de sécurité comme les pare-feu, la protection antivirus, les filtres anti-spam, les certificats SSL, la confidentialité des noms de domaine et la protection DDoS. Le choix d’un environnement d’hébergement est très subjectif.

Si vous avez peu ou pas de connaissances sur le fonctionnement des sites Web, vous feriez mieux d’avoir un environnement d’hébergement géré, mais si votre organisation a ses propres administrateurs système et centres d’exploitation dédiés, vous devriez vous pencher sur le serveur privé virtuel et les environnements d’hébergement dédiés.

Si vous recherchez des suggestions, WordPress recommande de tout cœur Bluehost, Dreamhost et SiteGround.

texte noir sur fond blanc avec des carrés et des cercles bleus
WordPress recommande Bluehost, Dreamhost et SiteGround à ses utilisateurs.

4. Limitez l’accès à votre site Web

Un service d’hébergement Web fiable peut couvrir beaucoup de terrain en termes de sécurité de votre site Web. Mais cela ne peut pas éliminer les vulnérabilités de votre côté. Votre site Web pourrait toujours être compromis par des attaques par force brute ou par une mauvaise gestion des mots de passe.

Voici donc 3 processus que vous pouvez suivre pour limiter l’accès d’un attaquant à votre site Web.

Processus 1: supprimer le WP-Admin par défaut

La plupart des attaquants optent pour les points d’accès par défaut wp-admin, wp-login.php et xmlrpc.php. Vous pouvez empêcher de telles attaques par force brute en utilisant un nom d’utilisateur unique. Voici comment:

  • Accédez à l’onglet Utilisateurs de votre tableau de bord et cliquez sur Ajouter un nouveau.
  • Utilisez une nouvelle adresse e-mail pour créer un nouveau compte et définissez le rôle sur « Administrateur ». Assurez-vous d’utiliser un nom d’utilisateur unique.
  • Enregistrez le nouvel utilisateur et déconnectez-vous.
  • Ensuite, reconnectez-vous avec le compte nouvellement créé et revenez à l’onglet Utilisateurs de votre tableau de bord. Passez le pointeur de votre souris sur l’administrateur du nom d’utilisateur et sélectionnez Supprimer.

Processus 2: gérer efficacement les rôles des utilisateurs

Il est essentiel que vous contrôliez les personnes autorisées à accéder à votre site Web et ce qu’elles peuvent faire pendant leur séjour. Le principe du moindre privilège, un principe informatique important, dicte:

  • Utilisez l’ensemble minimal de privilèges sur un système afin d’effectuer une action.
  • Accordez des privilèges uniquement pour la durée exacte nécessaire à une action.

En gardant ces principes à l’esprit, vous pouvez utiliser les rôles intégrés de WordPress comme Administrateur, Éditeur, Auteur, Contributeur et Abonné lors de l’accès aux personnes. Et assurez-vous de révoquer l’accès ou même de supprimer des comptes lorsqu’ils ne sont pas nécessaires.

texte noir sur fond gris
WordPress vous permet d’attribuer des privilèges à de nouveaux utilisateurs en utilisant différents rôles.

Vous pouvez également définir le rôle d’utilisateur par défaut sur Abonné. Accédez à l’onglet Général dans vos paramètres. Ici, changez le nouveau rôle utilisateur par défaut en Abonné dans la liste déroulante.

Processus 3: utiliser l’authentification à deux facteurs

Dans le scénario malheureux où quelqu’un est en quelque sorte en mesure de forcer son chemin dans votre site Web, vous pouvez lui mettre un énorme barrage sous la forme d’une authentification à deux facteurs. La configuration de l’authentification à 2 facteurs est simple.

Téléchargez et installez Google Authenticator sur votre appareil mobile. Trouvez un plugin 2FA pour WordPress et installez-le. Un bon est miniOrange’s 2FA. Après l’activation, sélectionnez miniOrange 2-Factor dans le menu de gauche et suivez les instructions.

Après avoir obtenu le code QR, ouvrez l’application Google Authenticator sur votre téléphone et cliquez sur le bouton Ajouter. Scannez le code QR et vérifiez le code sur la page du plugin.

En dehors de ces trois processus, vous pouvez ajouter encore plus de couches de sécurité avec des mots de passe générés de manière aléatoire, en fixant une limite aux tentatives de connexion WordPress et en utilisant des CAPTCHA de pré-connexion. Plugins comme Loginizer et Connexion No Captcha reCAPTCHA valent le détour.

5. Protégez le fichier ‘wp-config’

Le fichier wp-config.php contient des informations sensibles sur votre base de données, notamment l’hôte, le nom, le nom d’utilisateur et le mot de passe. Ainsi, des mesures spéciales doivent être prises pour le sécuriser. Voici quelques moyens simples de sécuriser ce fichier:

  • Le déplacer hors du répertoire racine.
  • Modification du fichier wp-config.php par défaut.
  • Définition de 400 autorisations sur le fichier pour restreindre l’accès.
texte noir et lignes orange sur fond blanc
Le fichier wp-config contient des informations extrêmement sensibles sur votre site Web.

6. Installez un plugin de sécurité

Le référentiel WordPress officiel contient des milliers de plugins de sécurité. Ces plugins exécutent une gamme de fonctions telles que la prévention, la détection et l’audit de votre site Web WordPress.

Sucuri Security est de loin le meilleur plugin de sécurité sur WordPress. Le plugin propose gratuitement des fonctionnalités telles que l’audit actif, la surveillance des fichiers et l’analyse des logiciels malveillants. De plus, il agit comme un mur impénétrable contre les exploits de correctifs virtuels, les chauves-souris, les emplacements de portes dérobées, les tentatives DDoS et les demandes de spam. La version premium est également livrée avec un pare-feu d’applications Web haut de gamme.

texte en noir et blanc sur fond coloré
Le plan premium de Sucuri est une solution de sécurité complète pour les sites Web WordPress.

7. Installez SSL et HTTPS

SSL ou Secure Socket Layer est un type de sécurité numérique qui permet une communication cryptée entre un navigateur Web et un site Web. Et HTTPS est une extension sécurisée de HTTP qui établit une connexion sécurisée avec le serveur.

L’installation de SSL et HTTPS est non seulement importante pour protéger vos données et celles de vos utilisateurs, c’est également un facteur de classement majeur pour Google. De plus, c’est un grand indicateur de confiance et de crédibilité auprès des utilisateurs.

La meilleure façon d’obtenir un certificat SSL est de demander à votre hébergeur. Ensuite, vous pouvez installer un plugin gratuit comme SSL vraiment simple qui détecte automatiquement votre certificat SSL et configure WordPress pour utiliser HTTPS.

texte noir sur fond blanc et jaune
Really Simple SSL est un plugin simple et gratuit pour intégrer HTTPS sur votre site Web.

8. Gérez soigneusement les plugins

Selon une estimation, plus de 55% des sites Web piratés avaient un ou plusieurs plugins obsolètes. Les attaquants injectent du code malveillant dans des plugins obsolètes et les proposent gratuitement. Vous ne devriez donc installer des plugins basé sur des facteurs tels que:

  • Taille de la base d’installation
  • Nombre d’avis d’utilisateurs et leur moyenne
  • Fréquence des correctifs et des mises à jour
  • Politique de confidentialité ou conditions d’utilisation
cercle coloré sur fond blanc
% Estimé de la façon dont les sites Web WordPress sont piratés.

Si vous avez des plugins inactifs sur votre site Web WordPress, il est temps de les purger. Ne conservez que les plugins que vous utilisez et êtes sûr qu’ils sont sûrs.

9. Effectuez des sauvegardes de votre site Web

Aucun nombre de mesures de sécurité ne peut garantir la sécurité d’un site Web. Avec autant de vulnérabilités et de facteurs imprévisibles, les conseils de sécurité WordPress mentionnés ci-dessus se limitent à l’atténuation des risques, pas à l’élimination des risques.

C’est pourquoi la sauvegarde de votre site Web vous prépare au pire des cas. Même si vos données ont été effacées ou corrompues, les sauvegardes peuvent vous aider à vous remettre en marche et à fonctionner en un rien de temps. Lors de la sauvegarde de votre site Web, assurez-vous de garder à l’esprit les points suivants:

  • Automatisez les sauvegardes – Les sauvegardes doivent être effectuées régulièrement et ne doivent pas dépendre des humains pour effectuer le processus. Ainsi, prévu, sauvegardes automatisées sont un must.
  • Magasin hors site – Les sauvegardes ne doivent jamais être stockées sur le même serveur que votre site Web. Non seulement les sauvegardes sur site sont susceptibles de tomber en panne, mais elles posent également de graves risques pour la sécurité.
  • Test du processus de récupération – Vous devez tester les sauvegardes pour leurs performances dans le processus de récupération. Une bonne sauvegarde devrait être en mesure de mettre en place un site Web pleinement fonctionnel à partir de zéro.

Avec une sauvegarde fiable et une foule de mesures de sécurité strictes, vous pouvez vous détendre en sachant que vous avez fait tout ce que vous devez faire pour sécuriser votre site Web WordPress.

Vous avez un doute? Laissez un commentaire ci-dessous et nous vous répondrons.

Lectures complémentaires

Étiquettes
Partagez cet article

Newsletter

Inscrivez-vous à notre newsletter pour profiter de toutes nos astuces !

Articles en relation

Laissez une réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance du moment

Comment créer une page de commentaires récents dans WordPress
Comment créer un portfolio vidéo dans WordPress (étape par étape)
Comment mettre en évidence les nouveaux messages pour les visiteurs récurrents dans WordPress
Comment répertorier les futures publications programmées à venir dans WordPress